专栏首页DeveWork360安全扫描之WordPress 页面异常导致本地路径泄漏 的漏洞修补

360安全扫描之WordPress 页面异常导致本地路径泄漏 的漏洞修补

今天头脑一热到360安全检测那里去为自己的网站进行安全扫描了一番。上次扫描还是一年前,当初扫描一个网站是 94 分,那时候还不懂代码,就这么挂着,被360 公开着。今天的扫描发现了两个漏洞,评分 91 。为了光鲜的 100 ,Jeff决定今个儿决定要解决了这些漏洞。

主题 index.php 文件的页面异常导致本地路径泄漏的漏洞修补

其中一个漏洞是页面异常导致本地路径泄漏,就是打开 http://域名/wp-content/themes/主题/ 这个路径会跳出个错误提示,然后这个提示就会泄露你的服务器路径。

如下面提示文字:

Fatal error: Call to undefined function get_header() in /网站根路径/XXX/wp-content/themes/主题/ on line 1

如图:

解决方法:

WordPress 话一般都是架设在 PHP+Apache 服务器上,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息。

1、修改php.ini中的配置行: display_errors = off 2、修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off 3、修改php脚本,增加代码行: ini_set(‘display_errors’, false);

不过的话虚拟主机就没有这个份了,唉,谁叫咱寄人篱下呢?咱有资本了一定买个独立的VPS,哼!

上面不能修改的话,对于WordPress ,可以采用以下代码屏蔽错误信息的显示。在主题目录下的 index.php 文件最开头加入以下代码:

<?php error_reporting(0); ?>

高级一点可以这样,实现的功能是访问http://域名/wp-content/themes/主题/ 这个路径自动跳转到首页:

<?php ini_set('display_errors', 0); ?> <?php if (function_exists('get_header')) { get_header(); }else{ header("Location: http://" . $_SERVER['HTTP_HOST'] . ""); exit; }; ?>

7.24更新:衡天主机的蓝冰大哥给我带来了另外一种方法:

在 wp-content/themes 中设置 .htaccess 代码,代码如下:

deny from all <FilesMatch "\.(ico|pdf|jpg|jpeg|png|gif|swf|css|js|zip|rar|txt|woff)$"> Allow from All </FilesMatch>

表示只允许列表中的文件类型访问,其他的不能访问,如PHP。

其他文件的页面异常导致本地路径泄漏的漏洞修补

如果使用WordPress ,可能会有其他文件也会报为漏洞,比如

/wp-includes/user.php

除了方法如上面一样,通过修改php脚本、配置php.ini以及httpd.conf中的配置项是一劳永逸,也可以在该php文件最开头前加入:

<?php error_reporting(0); ?>

晒图

解决后Jeff 用360 的重新扫描,呵呵,100 分了,晒一下:

虽然网站安全问题还可能存在,虽然说360 流氓不可信,但老实说人家做得确实不错。

WordPress 安全性就是好,至少比asp 的网站程序强多了。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 制作WordPress侧边栏“博客统计”小工具并集成在主题中的方法

    一些WordPress 博客会在右侧集成个“博客统计”,内容大概是文章数啊、评论数、建站日期等之类的统计数据。网络上的方法都是直接将php代码写在sidebar...

    Jeff
  • 代码重写WordPress网页标题为“原网页标题|网站名”的形式

    为了那个所谓的搜索引擎优化(SEO),为了更高的收录,为了更多的流量,我们需要对WordPress做许多工作,重写WordPress网页标题就是其中之一,如果你...

    Jeff
  • WordPress自定义栏目运用实例III:添加原创/转载文章不同版权声明

    这里是WordPress自定义栏目运用实例系列第三讲,为大家带来用自定义栏目添加原创/转载文章不同版权声明。跟本上,这个与之前的《WordPress自定义栏目运...

    Jeff
  • 谷歌hacker批量寻找可注入网站

    本次给大家发一些可以提取有注入点的网站的关键词,所利用的 也就是大家所熟悉的谷歌hack技术,下面是部分关键词,工具的话用一些关键词提取工具就好了。

    网e渗透安全部
  • php 环境上传文件超过容量被限制怎么办

    经常有网友在 php 环境中上传大容量文件,会遇到系统提示文件大小超过容量被限制上传,如果是老鸟自然会知道如何解决,对于新手来说这就好像学习 php 建站过程中...

    魏艾斯博客www.vpsss.net
  • Linux下源码安装PHP 卸载PHP

    pdo是mysql的依赖项;common是gd的依赖项;所以先删除mysql,gd

    meihuasheng
  • Centos7.X安装PHP7.0版本

    打开已经装好的Nginx目录下的配置文件nginx.conf,关于Nginx、mysql、Tomcat、JDK的安装可以访问我写的这篇博文:

    兮动人
  • [折腾]小型HTTP web服务Caddy及配置PHP

    Caddy是一个轻量级的http服务器,虽然很轻但是却很实用,功能也很强大。适合各种小内存鸡鸡

    砸漏
  • php源码的安装方法和实例

    在官网下载源码包:https://www.php.net/downloads.php

    砸漏
  • 设定php简写功能的方法

    启用 php 缩写能节省一些写法,虽然没差多少,只是要是脚本多了,看起来就比较好辨识

    砸漏

扫码关注云+社区

领取腾讯云代金券